crédit photo © Pavel Ignatov - shutterstock
A l’occasion de la publication de son Panorama 2015 de la cybersécurité, le Clusif (Club de la sécurité de l’information français) a mis en lumière un phénomène inquiétant : la marchandisation croissante des failles dites zero day, autrement dit ne bénéficiant pas d’un correctif. « En 2015, un nouveau record a été atteint avec une faille négociée un million de dollars lors d’une vente publique », explique Hervé Schauer, directeur général de HSC by Deloitte et associé Deloitte. Un total qui a évidemment de quoi susciter des vocations, même si la récompense en question concernait le piratage à distance d’iOS 9, un système d’exploitation réputé coriace. Pour des systèmes moins sensibles ou moins bien sécurisés, les récompenses sont plus modestes : 2 000 dollars par une faille dans OS Commerce, une application de commerce électronique, ou 15 000 dollars pour une vulnérabilité de Microsoft Office, selon les chiffres cités par Hervé Schauer. « La plupart des failles zero day sont vendues comme des marchandises classiques », note le consultant en sécurité.
Ce marché clandestin s’organise autour de places de marché spécialisées (comme The RealDeal), où des clients viennent faire leur shopping. « Il s’agit avant tout de gouvernements », assure Hervé Schauer, même si, évidemment, ces vulnérabilités peuvent aussi être employées dans des opérations d’espionnage économique entre concurrents. Michael V. Hayden, un ancien directeur de la NSA américaine, interrogé par le New York Times, expliquait il y a quelques semaines que « même les acteurs les moins compétents peuvent maintenant développer et/ou acquérir des outils et des armes que nous pensions par le passé réservés à quelques états ».
Ce marché est animé par des intermédiaires. Comme le hacker connu sous le pseudonyme TheGrugq. Le piratage de la société italienne Hacking Team a aussi révélé les pratiques de ce prestataire en la matière. Dans les centaines de milliers de mails dérobés à cette société, figuraient des achats de failles à d’autres sociétés ou à des hackers. The Hacking Team a ainsi versé 45 000 dollars à un certain Vitaliy Toropov pour une faille.
Mais le cas le plus emblématique de la montée en puissance de ces intermédiaires reste Zerodium, dirigé par le Français Chaouki Bekrar. En fait, Zerodium, l’entreprise américaine qui a versé un million de dollars pour la faille iOS, est une émanation de Vupen, une société de Montpellier que Chaouki Bekrar a choisi de fermer malgré des résultats très positifs (1,2 million de résultat net en 2014). Une façon de choisir des cieux plus cléments pour une activité très décriée. Tout en faisant évoluer le business model. « On a assisté à la réingénierie de la société de recherche de failles qu’était Vupen en un grossiste de zero day : Zerodium est spécialisé dans l’intermédiation entre ceux qui découvrent des vulnérabilités jusqu’alors inconnues et ceux qui les achètent », résume Hervé Schauer. Le tout avec des prix garantis. Après la faille iOS, Zerodium a ainsi lancé une nouvelle offre sur le marché : 100 000 $ pour une faille Flash. La société a également mis en place des mécanismes sophistiqués garantissant l’anonymat des versements d’argent, assure le consultant.
Face à ces développements, les éditeurs réagissent, « via des programme de Bug Bounty (recherche de failles, NDLR) qui visent à assécher ce marché », dit l’associé de Deloitte. Pour ce faire, les éditeurs ont dû revoir eux aussi leurs primes à la hausse, comme nous le signalions en août dernier. Le cas le plus emblématique concerne sans doute Microsoft, qui a fait passer sa prime la plus élevée de 50 000 à 100 000 $. Signalons par ailleurs que le phénomène du Bug Bounty dépasse aujourd’hui largement la seule industrie du logiciel : des entreprises comme Western Union, General Motors, Tesla (constructeur d’automobiles) ou United Airlines s’y essayent. Avec parfois des systèmes de récompense inhabituels, comme les miles qu’offre la compagnie aérienne américaine.
Des plates-formes spécialisées dans les programmes de Bug Bounty ont même vu le jour, comme Fire Bounty, BugCrowd ou HackerOne. Cette dernière a d’ailleurs levé 25 millions de dollars, preuve que les investisseurs s’intéressent eux aussi à ce marché des failles zero day.
A lire aussi :
Le projet Tor lance un programme de chasse aux bugs
Dans l’ombre de Vupen, Zerodium programme les chasseurs de failles zero day
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…